SME et ldap [Besoin d'aide SVP]

[Gorgo]

Salut a tous.

je suis nouveau sur le forum.

Mon probleme est le suivant.
Je suis en stage dans une entreprise qui utilise SME (que je ne connaissais pas avant) et que je ne connais pas non plus maintenant.

Je dois faire en sorte que les applications qu'ils utilisent puisse logger les utilisateurs d'aprés le LDAP de SME. J'ai un probleme en ce qui concerne le mot de passe. je ne sais pas comment le recupérer et de quelle facon il est crypté.

si quelqu'un pouvait m'aider ca serait cool

merci d'avance

[boblefou]

Salut,
Si je ne dis pas de bêtises (je ne pense pas car j'ai testé moi même), en configuration de base, le ldap de SME est renseigné avec uniquement le nom des utilisateurs, leur prénom, leur login, email, tout le bazzarr mais il n'y a pas le mot de passe.
Il faut le rajouter à la main sur chaque utilisateur et le mieux est le de crypter en md5 (enfin je pense).
Tu peux facilement le faire grâce par exemple à phpldapadmin.

Je bosse actuellement sur une modif des scripts de création et de modification d'utilisateurs sur SME pour permettre justement l'intégration des mots de passe dans le ldap.

Une fois fait cela, aucun problème pour connecter un application ; personnellement, j'ai testé avec GLPI, Webcalendar, Joomla...

Bon courage !

[Gorgo]

Merci pour ta réponse.

Mais, quand tu rentre de nouveaux utilisateurs, tu dois leur ajouter un mot de passe.
Le webmail horde qui est utilisé par l'entreprise log les utilisateurs a partir de ces mot de passe. J'aimerais savoir si tu sais comment il fait, où est ce qu'il va les chercher ?

[boblefou]

Sur SME lorsque tu créé un utilisateur, bien sur tu va aussi lui attribuer un mot de passe pour que le compte soit actif.
Effectivement, sans uncune modification, les utilisateurs peuvent alors se connecter à horde, mais celui-ci ne passe pas par ldap pour récupérer login+mdp mais par imap...

Ceci dit, beaucoup d'application supporte la récupération des login + mdp par imap.

[Gorgo]

Et comment tu fais pour récupérer des login et password par imap?
est ce que je peux trouver des sites qui pourraient m'aider ?

merci pour ces précisions

[VIP-ire]

Pour récupérer le login+mdp par imap, c'est assez simple, l'application (horde dans notre cas) agit comme un client mail normal, comme ton TB ou ton Outlook (beurk), tu lui passe ton login et ton mdp que toi tu connais, et lui fait simplement une requète IMAP vers le serveur (qui est localhost), et c'est le serveur imap qui fait la vérification (il utilise un module PAM je suppose, en tout cas, les mots de passes sont comparés avec le fichiers /etc/shadow si je dis pas de bêtise). Il y a d'autres applis qui supportent ce genre d'authentif, je pense à GLPI ou encore egroupware, mais il doit y'en avoir d'autres.
En tout cas si ton sujet de stage c'est d'utiliser l'authentification LDAP de SME pour des appli externes, t'a un bon paquet de taf devant toi, parce que modifier SME pour que tout passe par LDAP, c'est un sacret boulo. Cherche dans le bug tracker, il y a un rpm qui met à peu près en place l'authentification par LDAP, mais y'a encore beaucoup de boulo pour que ça soit utilisable en prod.

L'idéale serait ensuite de pouvoir configurer un SME comme étant maître, ou esclave d'un autre SME, ce qui permettrait d'avoir plusieurs serveurs tout en SSO. Encore plus loin, ça serait génial de pouvoir intégrer SME dans un réseau AD (même si j'aime pas trop ça, ça peut servir), ou encore de migrer une base AD vers SME.

Boblefou, tu dit que tu bosse sur la modif des scripts, est-ce que tu pourrais expliquer les modifs que tu a fais? (par mail à la rigueur daniel AT firewall-services DOT com) parce que ça m'interesse, même si j'ai pas le temps de m'y mettre dessuite.

[Gorgo]

Merci beaucoup pour toutes ces info.
je vais essayé l'authentification par imap pk mon sujet de stage est juste de logger les utilisateurs de toutes leurs appli php sans avoir a créer des bases mysql a chaque fois.

je pensais que ca serait possible en ldap mais tu as raison imap a l'air beaucoup plus simple.

[boblefou]

Salut,
Pour répondre à VIP-ire, le but de mes modifs des scripts de SME est assez simple ( a vrai dire, je ne comprend pas pourquoi ce n'est pas implémenté de base...).
La modif porte sur les script contenu dans /etc/e-smith/events/actions/, ceux faisant référence à une création d'utilisateur ou à leur modification de mot de passe.

Je suis en cours de debug, mais le but final est de créé le mot de passe de l'utilisateur dans le ldap a la création de celui-ci.
Plus important et pour rendre indépendant les utilisateurs, dès que ceux-ci modifie leur mot de passe, celui-ci est aussi modifié dans le ldap ; ils ont ainsi toujours le même mot de passe pour accéder à toutes les applis locales.

Dès que j'ai fini de débugguer, je t'en fais part !

[Gorgo]

salut,

Une derniere petite question
comment peut on recupérer le nom du groupe auquel appartient un membre enregistré sur le ldap ?
J'en ai besoin pour savoir si un membre est classé dans le groupe admin que j'ai créé.

Merci d'avance pour la réponse

[boblefou]

Salut,
Dans le ldap c'est l'attribut "ou" d'un utilisateur qui t'indique son groupe.

[Gorgo]

j'ai essayé de récupéré les données du champs "ou" mais ca me donne la valeur "Main"
et mon groupe d'utilisateur s'appelle Admin_server

n'y aurait il pas un otre nom de champ ?

[boblefou]

Non a ma connaissance, dans le ldap de SME c'est bien l'attribut "ou" qui renvoi le groupe d'appartenance.

[Gorgo]

wé jte croi mé ca me renvoi ke la valeur "Main"

[VIP-ire]

l'attribut "ou" ne renvoie pas le groupe mais le service (dans le server-manager->utilisateur, tu en modifi un et tu vois que le service par défaut est Main). Faudrait trouver le schéma LDAP qu'utilise SME, mais si il faut, il n'y a pas d'attribue de groupe vu qu'à la base, il n'est là que pour servir d'annuaire.

[boblefou]

Bien vu VIP-ire !
Je me base sur ma config en omettant les modifications que j'avais fais en amont. Effectivement, de base le ldap est un simple répertoire du personnel, et en aucun cas il y a un "classement" en categories, sous-categories, utlisateurs des sous categories...